Circa 50mila aziende che impiegano software di Sap potrebbero essere a rischio di data breach. Secondo quanto rivelato dalla società di sicurezza Onapsis, nove sistemi in produzione su dieci basati su sistemi del colosso tedesco presenterebbero delle falle che, se sfruttate correttamente, porterebbero a una totale compromissione degli ambienti. La responsabilità non è però totalmente di Sap in quanto, come ha spiegato Onapsis, le linee guide per risolvere il problema sono state pubblicate già nel 2013. Ma, evidentemente, la stragrande maggioranza delle imprese non le ha applicate. I dettagli delle vulnerabilità e gli strumenti adatti per violare i sistemi sono stati pubblicati nel frattempo online. Il team di Onapsis ha chiamato gli exploit 10kblaze, sottolineando la grave minaccia che possono rappresentare per tutte le applicazioni critiche delle aziende.
La falla è contenuta nella procedura di configurazione di Sap Netweaver, tecnologia di base per diversi prodotti (incluso S4/Hana): se non corretto, il bug può consentire a un hacker di compromettere i sistemi da remoto, copiando o manipolando informazioni sensibili, senza nemmeno conoscere Id e password. Maggiori dati tecnici sono disponibili su questa pagina Web.
“Siamo a conoscenza di report recenti su vulnerabilità contenute in Sap Gateway e Message Server”, ha commentato l’azienda tedesca in una nota, “ma questi problemi sono stati risolti già qualche fanno fa. Come sempre, consigliamo caldamente ai nostri clienti di applicare subito le patch disponibili e di configurare correttamente i loro ambienti Sap”.